Une carte d’identité n’est pas une carte de fidélité

Vous n’avez probablement plus que très peu d’argent liquide dans votre portefeuille, mais de nombreuses de cartes de fidélité. Certaines de ces cartes vous permettent de bénéficier directement de réductions. D’autres vous donnent un relevé de vos achats et vous ne recevez alors plus de ticket papier à la caisse. Enfin, il existe aussi des cartes qui vous permettent de récolter des points. Pourquoi ne pas tout mettre sur une seule carte : votre carte d’identité ?

Le marchand de boissons local

Un marchand de boissons offrait à ses clients une réduction en fonction des achats effectués – un système de points donc. Mais au lieu de proposer aux clients la petite carte plastique classique, il leur demandait d’insérer leur carte d’identité dans le lecteur de cartes.

Un client avec des principes avait refusé de donner sa carte d’identité, mais exigeait la réduction. L’affaire a finalement été soumise à l’Autorité de protection des données (APD). L’APD est un organe indépendant qui veille au respect des principes fondamentaux de la protection des données à caractère personnel. Ces principes fondamentaux sont repris dans un Règlement européen de 2016, connu sous le nom de RGPD : le règlement général sur la protection des données. Vous pouvez donc vous adresser à l’APD si vous estimez qu’il y a atteinte à votre vie privée.

APD et Cour des marchés

L’ADP s’était montrée particulièrement sévère à l’égard du marchand de boissons.
La carte d’identité contient de nombreuses informations qui ne sont pas pertinentes pour l’octroi d’une réduction sur des boissons. Outre votre nom complet, elle reprend votre date et votre lieu de naissance, votre sexe... ainsi que votre numéro de registre national.

TLe RGPD est déjà strict en ce qui concerne l’utilisation de toutes sortes de données à caractère personnel, mais le numéro de registre national est une donnée soumise à des règles encore beaucoup plus strictes.

Bien qu’il soit donc très tentant d’utiliser le numéro de registre national comme numéro d’identification unique pour vos clients, son utilisation à des fins commerciales est strictement interdite.

L’APD avait dès lors décidé d’infliger au marchand de boissons une amende de 10 000 euros :

pour non-respect du principe de minimisation des données, qui interdit de collecter plus de données que ce qui est strictement nécessaire ; et

pour absence de consentement au traitement de ces données.

La Cour des marchés, un organe de recours dont relève aussi l’APD, estimait cette sanction excessive. En fin de compte, le marchand de boissons n’avait pas obtenu les données... Comment pouvait-il alors avoir commis une infraction ?

Par ailleurs, le client avait le choix, selon la Cour. S’il ne voulait pas que les données soient traitées, il ne devait pas insérer la carte dans le lecteur de cartes. Le fait qu’il ne bénéficiait alors pas de la réduction était certes une conséquence de ce refus, mais ne suffisait pas en soi pour affirmer que le client n’avait pas le choix.

La Cour de cassation a finalement été saisie de l’affaire. Et la plus haute juridiction de notre pays se rallie au point de vue de ... l’APD.

Rien ne s’est passé ...

La question se posait tout d’abord de savoir si une plainte pouvait être introduite auprès de l’APD dans la mesure où aucune infraction n’avait été commise. Le marchand de boissons n’avait en effet pas obtenu la carte d’identité.

La Cour de cassation répond à cette question par l’affirmative : toute personne qui estime qu’il y a eu atteinte à ses droits consacrés par le RGPD a le droit de porter plainte, le service d’inspection de l’APD pouvant ensuite prendre ou non des mesures.
Peu importe que les données personnelles n’aient pas été effectivement traitées.

Si le service d’inspection constate que les principes du RGPD n’ont pas été respectés, il peut prendre des mesures. En l’occurrence, l’inspection a constaté que le marchand de boissons conservait toutes les données des cartes d’identité. La plupart des données ainsi récoltées n’étaient pas nécessaires pour l’octroi de la réduction.

Consentement

Mais lorsqu’un client insère sa carte d’identité dans un lecteur de cartes, ne consent-il pas alors au traitement de ces données ?

Après quelques détours, la Cour de cassation conclut malgré tout qu’en agissant ainsi, les clients ne donnent pas leur consentement au traitement de toutes les données. Le raisonnement suivi est qu’en accordant uniquement une remise si la carte d’identité est insérée dans le lecteur de cartes, les clients n’ont en réalité pas le choix. S’il n’y a pas de choix possible, le consentement n’est pas libre.

La Cour de cassation rejette le raisonnement de la Cour des marchés selon lequel le client ne perdait en fait rien, mais ne pouvait tout simplement pas bénéficier de la réduction : le fait de ne pas pouvoir bénéficier d’un avantage entraîne lui aussi une restriction de la liberté de choix.

Minimisation des données et alternative

Il n’est en soi pas interdit d’utiliser la carte d’identité comme carte de fidélité. Mais les données récoltées doivent répondre à l’exigence de minimisation des données.
Le nom semble ainsi être le maximum que vous pouvez télécharger de la carte. Vous pouvez y ajouter vous-même quelques autres données comme un numéro de téléphone ou une adresse e-mail.

Si vous voulez télécharger des données supplémentaires, comme la date de naissance ou le domicile, vous devez demander le consentement de la personne concernée.

Il peut aussi s’avérer judicieux de proposer une alternative : des applications dans lesquelles les clients doivent compléter leurs propres données, une carte à tamponner comme auparavant ou simplement une nouvelle petite carte en plastique... Les options ne manquent pas.